Zu den Hauptinhalten
  • Bestellungen schnell und einfach aufgeben
  • Bestellungen anzeigen und den Versandstatus verfolgen
  • Erstellen Sie eine Liste Ihrer Produkte, auf die Sie jederzeit zugreifen können.

Updates to Dell Endpoint Security Suite Enterprise Advanced Threat Protection detection method (Aktualisierungen der Dell Endpoint Security Suite Enterprise Advanced Threat Protection-Erkennungsmethode)

Zusammenfassung: Aktualisierungen von Dell Endpoint Security Suite Enterprise oder Dell Threat Defense können Zu Änderungen bei der Bewertung von Bedrohungen führen.

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.

Symptome

Hinweis:

Betroffene Produkte:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Betroffene Versionen:

  • 1,2,137 x 
  • x 1.2.139
  • x 2.0.145

Ursache

Advanced Threat Protection-Produkte von Dell Data Protection Dell Threat Defense und Dell Endpoint Security Suite Enterprise verfügen möglicherweise über gelegentliche Aktualisierungen, die die Bewertung von Bedrohungen ändern. Diese Aktualisierungen werden häufig als "Modellaktualisierungen" bezeichnet, da es sich um Aktualisierungen des Bedrohungsmodells handelt.

Lösung

Um Benutzern zu helfen, zu wissen, wie sich ein neues Modell auf ihr Unternehmen auswirken kann, gibt es zwei Spalten auf der Seite Protection in der Konsole. Sie können den Vergleich des Produktionsstatus und des neuen Status verwenden, um zu sehen, welche Dateien auf Ihren Geräten sich das Modell geändert hat.

Benutzer sollten die neuen Modelle vor einem vollständigen Produktions-Rollout testen. Dadurch sollten unbeabsichtigte Ausfälle durch Modelländerungen minimiert werden.

Die Szenarien, die Sie kennen sollten, sind:

  • Eine Datei, die im aktuellen Modell als sicher eingestuft wurde, kann im neuen Modell in "Unsicher" geändert werden. Wenn Ihr Unternehmen diese Datei benötigt, können Sie sie zur Sicheren Liste hinzufügen.
  • Eine Datei, die das aktuelle Modell nie gesehen oder bewertet hat, und das neue Modell betrachtet es als unsicher. Wenn Ihr Unternehmen diese Datei benötigt, können Sie sie zur Sicheren Liste hinzufügen.

Neue Schutzspalten

Die beiden Spalten sind: Produktionsstatus und neuer Status:

  • Produktionsstatus: Zeigt den aktuellen Modellstatus (sicher, abnormal oder unsicher) für die Datei an.
  • Neuer Status: Zeigt den Modellstatus für die Datei im neuen Modell an.

Nur Dateien, die auf Geräten in Ihrem Unternehmen gefunden wurden, die Änderungen in ihrer Bedrohungsbewertung aufweisen, werden angezeigt. Einige Dateien haben möglicherweise eine Änderung der Bedrohungsbewertung, bleiben aber innerhalb ihres aktuellen Status.

Beispiele:

Die Bedrohungsbewertung für eine Datei geht von 10 auf 20, der Dateistatus bleibt abnormal und die Datei wird in der aktualisierten Modellliste angezeigt (wenn diese Datei auf Geräten in Ihrem Unternehmen vorhanden ist).

Hinweis: Die Informationen für den Modellvergleich stammen aus der Datenbank, nicht aus Ihren Geräten. Es wird also keine erneute Analyse für den Modellvergleich durchgeführt. Wenn jedoch ein neues Modell verfügbar ist und der richtige Agent installiert ist, wird eine erneute Analyse auf Ihrem Unternehmen durchgeführt und alle Modelländerungen werden angewendet.

So zeigen Sie die Spalten "Aktuelles Modell" und "Neues Modell" an:

  1. Melden Sie sich bei der Dell Data Protection Remote Management Console an, wählen Sie Bestückungen -> Enterprise -> Advanced Threats aus und wählen Sie dann die Registerkarte Schutz aus.
  2. Klicken Sie auf den Pfeil nach unten in einer Spaltenüberschrift.
  3. Wählen Sie die Spalten Produktionsstatus und Neuer Status aus.
  4. Klicken Sie auf den Abwärtspfeil oder klicken Sie auf eine beliebige Stelle auf der Seite, um das Menü mit den Spaltenoptionen zu schließen.

Sie können nun die Unterschiede zwischen den beiden Bedrohungsmodellen überprüfen.

Die beiden Szenarien, die Sie kennen sollten, sind:

  • Aktuelles Modell = sicher, neues Modell = abnormal oder unsicher
  • Ihr Unternehmen betrachtet die Datei als sicher oder die Klassifizierung als vertrauenswürdig lokal.
  • In Ihrem Unternehmen ist abnormal oder unsicher auf Automatische Quarantäne (Auto Quarantine, AQT) gesetzt.
  • Aktuelles Modell = Null (nicht gesehen oder bewertet), Neues Modell = abnormal oder unsicher
  • Ihr Unternehmen betrachtet die Datei als sicher oder die Klassifizierung als vertrauenswürdig lokal.
  • In Ihrem Unternehmen ist abnormal oder unsicher auf Automatische Quarantäne (Auto Quarantine, AQT) gesetzt.

In den obigen Szenarien wird empfohlen, die Dateien, die Sie in Ihrem Unternehmen zulassen möchten, auf die sichere Liste zu setzen.

Klassifikationen identifizieren

Um Klassifizierungen zu identifizieren, die sich auf Ihr Unternehmen auswirken könnten, empfehlen wir den folgenden Ansatz:

  • Wenden Sie einen Filter auf die Spalte New Model an, um alle unsicheren, abnormalen und unter Quarantäne gestellten Dateien anzuzeigen. Wenn Ihre Richtlinie auf Automatische Quarantäne eingestellt ist, können Sie keine unsicheren oder abnormalen Dateien sehen, da diese Bedrohungen unter Quarantäne gestellt wurden.
  • Wenden Sie einen Filter auf die Spalte Produktionsstatus an, um alle sicheren Dateien anzuzeigen.
  • Wenden Sie einen Filter auf die Spalte Klassifizierung an, um nur vertrauenswürdige – lokale Bedrohungen anzuzeigen. Vertrauenswürdig – Lokale Dateien werden mit dem ATP von Dell analysiert und als sicher befunden (diese Elemente nach der Überprüfung auf eine sichere Liste setzen). Wenn viele Dateien in der gefilterten Liste enthalten sind, sollten Sie die Verwendung weiterer Attribute priorisieren. Beispiel: Fügen Sie der Spalte "Hintergrunderkennung" einen Filter hinzu, um die von der Ausführungskontrolle gefundenen Bedrohungen zu überprüfen. Diese wurden bewertet, wenn ein Benutzer versuchte, eine Anwendung auszuführen, und eine dringendere Aufmerksamkeit als ruhende Dateien erfordern, die von Der Erkennung von Hintergrundbedrohungen oder File Watcher bewertet wurden.

Advanced Threats 
Abbildung 1: (Nur in englischer Sprache) Advanced Threats 

Empfohlene Produktions-Rollouts

In diesem Abschnitt werden Strategien beschrieben, mit denen Nutzer ein Upgrade auf ein neueres prädiktives Modell durchführen können. Es wird dringend empfohlen, Agents einer Richtlinie mit automatischer Quarantäne zuzuweisen, die für unsichere und ungewöhnliche Dateien aktiviert ist.

Automatische Aktualisierungen mit automatischer Quarantäne

Wenn Agents auf Auto-Update eingestellt sind, sollten Sie die automatische Aktualisierung für Agents deaktivieren, wenn neue vorausschauende Modelle veröffentlicht werden. Wenn es nicht möglich ist, die automatische Quarantäne zu deaktivieren oder den neuen Agent zu testen, warnen Sie Ihre Dell Data Protection-Administratoren. Möglicherweise möchten sie Elemente, die fälschlicherweise für die Entsperrung von Benutzern klassifiziert wurden, auf die sichere Liste setzen.

Manuelle Aktualisierungen mit automatischer Quarantäne

Wenn Sie Agents manuell aktualisieren, ist die automatische Aktualisierung kein Problem. Es wird empfohlen, die folgenden Anweisungen zu verwenden, bevor Sie Ihre Agents aktualisieren.

  1. Testen Sie den neuen Agent (mit dem neuen Modell) auf einem repräsentativen Computersatz. Idealerweise werden diese Testmaschinen in eine Richtlinie zur automatischen Quarantäne gestellt. Wenn eine sichere Anwendung blockiert wird, fügen Sie die Datei zu Ihrer Sicheren Liste hinzu.
  2. Sobald der Test abgeschlossen ist, führen Sie den neuen Agent für alle Ihre Computer aus.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

 

Weitere Informationen

   

Videos

   

Betroffene Produkte

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Artikeleigenschaften
Artikelnummer: 000126632
Artikeltyp: Solution
Zuletzt geändert: 02 Okt. 2023
Version:  11
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.